1.  電信行業(yè)數據信息泄漏風(fēng)險概述

運營(yíng)商信息系統體系形成了對企業(yè)管理、運營(yíng)、維護等方面支撐的大量應用系統，也產(chǎn)生了大量的結構化數據和非結構化數據，這些數據是企業(yè)的重要資產(chǎn)之一，是現代企業(yè)的命脈，關(guān)乎企業(yè)的生存與發(fā)展。與此同時(shí)，各類(lèi)數據信息在處理、共享和使用過(guò)程中也面臨數據信息被違規越權使用或數據信息被用于非法用途等數據信息泄漏的安全風(fēng)險。一方面，應用系統數據處理過(guò)程中涉及到的商業(yè)秘密需要保護；另一方面，運營(yíng)過(guò)程中收集和使用的大量的用戶(hù)信息、用戶(hù)業(yè)務(wù)使用信息等個(gè)人隱私數據，以及數據統計分析所形成的各類(lèi)報表作為企業(yè)重要的經(jīng)營(yíng)信息也需要保護。
針對商業(yè)秘密，國務(wù)院國有資產(chǎn)監督管理委員會(huì )頒布了《中央企業(yè)商業(yè)秘密保護暫行規定》，國資委保密委員會(huì )頒布了《中央企業(yè)商業(yè)秘密信息系統安全技術(shù)指引》，對中央企業(yè)的商密秘密保護進(jìn)行規范和指導，確保中央企業(yè)正常經(jīng)營(yíng)利益不受侵害。針對用戶(hù)隱私數據，全國人大頒布了《全國人民代表大會(huì )常務(wù)委員會(huì )關(guān)于加強網(wǎng)絡(luò )信息保護的決定》，工信部起草了《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護規定（征求意見(jiàn)稿）》面向社會(huì )公開(kāi)征求意見(jiàn)。因此，加強企業(yè)數據信息安全保護，既是企業(yè)自身發(fā)展的客觀(guān)要求，也是國家法律法規的要求。
據權威機構近幾年調查數據顯示，企業(yè)內部用戶(hù)非授權的訪(fǎng)問(wèn)和濫用導致有意或無(wú)意的信息泄露所造成的損失持續居于企業(yè)信息安全風(fēng)險的最前列。目前各IT系統的內部用戶(hù)很容易就可以導出系統重要數據或者下載系統中的各種電子文檔，而且數據和電子文檔的流轉渠道多元化，內部用戶(hù)可以很輕松地把系統內的許多重要信息傳遞到網(wǎng)絡(luò )外部，但是根據管理規范這些重要的信息資料，不能輕易離開(kāi)公司的網(wǎng)絡(luò )環(huán)境，甚至不能在公司網(wǎng)絡(luò )內部隨意地傳遞與交流。

2.  電信行業(yè)數據信息泄露風(fēng)險點(diǎn)分析

電信行業(yè)運營(yíng)商在日常經(jīng)營(yíng)過(guò)程中，容易出現的信息泄露風(fēng)險依據應用系統用途主要分為兩大類(lèi)：管理類(lèi)應用系統和業(yè)務(wù)支撐類(lèi)應用系統。管理類(lèi)應用系統以OA系統最為典型，也包括財務(wù)、合同管理、采購、CRM等系統，業(yè)務(wù)支撐類(lèi)應用系統則包括計費、經(jīng)營(yíng)分析、數據倉庫等BOSS系統。針對不同用途的應用系統，其數據信息泄露風(fēng)險分別分析如下：

2.1  管理類(lèi)應用系統數據泄露風(fēng)險

以OA系統為例，公文內容通常包含企業(yè)戰略決策、市場(chǎng)營(yíng)銷(xiāo)策劃、財務(wù)報表、工程設計方案、重大會(huì )議紀要等內容，均屬于商業(yè)秘密的范疇。在這些公文處理過(guò)程中出現的風(fēng)險點(diǎn)主要有：
1）內部人員的越權和違規操作，如：非法攜帶、非法發(fā)送、非法打印；
2）商業(yè)秘密公文明文存儲和流轉；
3）黑客/木馬的信息竊取；
4）商業(yè)秘密公文的可流轉渠道多，流轉不可控。
而OA系統的常見(jiàn)安全措施僅涉及到身份認證、日志統計方面，對公文內容缺乏保護能力，上述風(fēng)險點(diǎn)都可能造成公文內容的泄露，給企業(yè)經(jīng)營(yíng)造成損失。

2.2  業(yè)務(wù)支撐類(lèi)應用系統數據泄露風(fēng)險

業(yè)務(wù)支撐類(lèi)應用系統的數據有客戶(hù)資料信息（個(gè)人客戶(hù)、企業(yè)客戶(hù)、渠道客戶(hù)）、計費帳務(wù)數據（賬單、詳單）、統計分析數據（統計報表、經(jīng)營(yíng)分析報告）等內容，均屬于敏感數據的范疇，也得到了運營(yíng)商的重視，一般均采取了以下幾方面的保護措施：
1）應用系統訪(fǎng)問(wèn)頁(yè)面中信息的混淆，如查詢(xún)出客戶(hù)個(gè)人信息中的姓名、住址、身份證號碼等信息，只顯示開(kāi)頭和結尾的字符，中間字符采用***顯示的方式，有效避免了頁(yè)面中敏感內容的泄露使用；
2）應用系統運維的訪(fǎng)問(wèn)控制，通常采用堡壘機的方式，對系統管理員、數據庫管理員進(jìn)行身份認證、訪(fǎng)問(wèn)控制和操作行為審計，防止他們進(jìn)行違規越權的操作，惡意修改數據或超范圍獲取數據內容。
但上述保護措施也存在不足，對敏感數據保護還存在欠缺：
1）應用系統訪(fǎng)問(wèn)頁(yè)面中通常都具有數據導出功能，可將系統內的數據形成數據文件保存到計算機本地，數據文件就可以被任意使用；
2）應用系統數據庫的備份、數據導出都可以將系統內的數據以文件形式保存到計算機本地，數據文件就可以被任意使用。
對業(yè)務(wù)支撐類(lèi)應用系統數據文件內容缺乏保護，會(huì )造成敏感信息的泄露，給企業(yè)的生產(chǎn)經(jīng)營(yíng)造成重大損失。

2.3  泄露風(fēng)險的應對措施

通過(guò)上述分析，可見(jiàn)數據文件存在的主要問(wèn)題有：
1）文件以明文方式存儲，任何人員只要得到文件即可輕易打開(kāi)讀取或復制內容；
2）文件與當前人員無(wú)任何關(guān)聯(lián)，可以任意發(fā)送給內部或外部人員，文件的分發(fā)和流向不可控；
3）文件的使用環(huán)境以及編輯、復制、打印等使用操作上無(wú)任何限制，無(wú)任何使用記錄，無(wú)法審計。
其應對措施主要有：
1）數據文件明文存儲、內外部人員的信息竊取：通過(guò)對數據文件進(jìn)行加密，形成密文文件；
2）內部人員的越權和違規操作：使用安全的身份認證方式，對文檔操作進(jìn)行細粒度授權和管控，對文檔的授權和使用進(jìn)行詳細審計；
3）數據文件的流轉渠道不可控：對文檔在內部的分發(fā)授權進(jìn)行控制，對文檔向外部發(fā)送的權限進(jìn)行控制，云桌面/虛擬化移動(dòng)辦公控制文檔不落終端；
4）導出數據文件的使用和處理：數據文檔加密保護，數據文檔權限控制、使用審計，數據文檔安全交換、安全處理。

3.  解決方案

3.1  管理類(lèi)應用數據保護

管理類(lèi)應用系統以OA系統使用最為廣泛，應用最為典型，下面將以OA系統為例，說(shuō)明數據保護的方案，其他管理類(lèi)應用系統均適用。
OA系統是各類(lèi)公文的流轉平臺，其中涉及一般商密、核心商密的公文在流轉過(guò)程中亟需加密保護，一旦OA內部重要的文檔被非法帶出公司，或在電腦中被病毒、木馬等盜取，文檔的內容就將泄露，給公司造成重大損失。因此，需要對相關(guān)人員的公文操作權限進(jìn)行控制和操作審計，以防止有意無(wú)意的泄密。
通過(guò)OA文檔安全系統的建設，可實(shí)現對OA系統中重要公文的加密保護，實(shí)現重要公文在OA系統流轉過(guò)程中的授權，以及對重要公文使用權限的有效控制和審計，在內部辦公網(wǎng)中逐步形成“事前加密保護、事中授權控制、事后跟蹤審計”的涉密公文和重要信息文件的安全保護體系。

用戶(hù)信息同步

文檔安全系統可通過(guò)Web Service接口或LDAP接口從OA系統、企業(yè)目錄或統一用戶(hù)管理系統中同步用戶(hù)信息和組織機構信息，用戶(hù)無(wú)需記憶新的帳號，直接使用現有帳號信息。

系統用戶(hù)登錄認證信息強制檢測

用戶(hù)訪(fǎng)問(wèn)OA系統時(shí)，強制檢測是否已安裝并登錄了文檔安全客戶(hù)端，如未安裝或未登錄則不允許訪(fǎng)問(wèn)系統；同時(shí)，檢測登錄用戶(hù)和登錄主機信息的一致性，如果不一致，則也不允許訪(fǎng)問(wèn)系統，從而增強系統安全認證和訪(fǎng)問(wèn)控制。
（一）文檔安全客戶(hù)端登錄及主機信息的獲取
用戶(hù)主動(dòng)登錄文檔安全客戶(hù)端或者通過(guò)OA系統單點(diǎn)登錄文檔安全客戶(hù)端成功后，文檔安全客戶(hù)端搜集用戶(hù)主機信息，包括：客戶(hù)端主機當前生效網(wǎng)卡的IP地址、MAC地址、主機名稱(chēng)、文檔安全客戶(hù)端的版本及當前用戶(hù)名和用戶(hù)登錄時(shí)間，提交至文檔安全服務(wù)系統存儲，用戶(hù)狀態(tài)標記為已登錄。當用戶(hù)注銷(xiāo)文檔安全客戶(hù)端時(shí)，用戶(hù)狀態(tài)將更新為未登錄。
（二）OA系統登錄認證信息的強制檢測
1)         用戶(hù)通過(guò)Web瀏覽器登錄/單點(diǎn)登錄訪(fǎng)問(wèn)OA系統；
2)         系統通過(guò)JavaScript腳本調用文檔安全客戶(hù)端的COM組件接口，檢測文檔安全客戶(hù)端是否已登錄；
如果文檔安全客戶(hù)端未安裝，則捕獲錯誤信息，提示用戶(hù)“必須先安裝文檔安全客戶(hù)端才能登錄系統”，并停止登錄/單點(diǎn)登錄信息的提交；
如果COM組件接口返回值表明客戶(hù)端未登錄，則提示用戶(hù)“必須先登錄文檔安全客戶(hù)端才能登錄系統”，并停止登錄/單點(diǎn)登錄信息的提交；
如果COM組件接口返回值表明客戶(hù)端已登錄，則通過(guò)COM組件接口獲取主機的IP和MAC地址，并隨登錄/單點(diǎn)登錄信息一起提交至OA系統服務(wù)端；
3)         OA系統收到信息后，驗證登錄的用戶(hù)名/密碼或單點(diǎn)登錄信息是否正確，如果不正確則拒絕登錄/單點(diǎn)登錄系統；
4)         如果登錄/單點(diǎn)登錄信息驗證正確，則調用文檔安全系統服務(wù)端的Java服務(wù)接口，校驗客戶(hù)端提交的當前用戶(hù)主機的IP和MAC地址與文檔安全服務(wù)系統中記錄的當前用戶(hù)最新登錄的主機IP和MAC地址以及登錄狀態(tài)是否一致；如果不一致，則拒絕登錄系統，否則登錄成功。
（三）通過(guò)VPN訪(fǎng)問(wèn)業(yè)務(wù)系統時(shí)的方案適應性
在通過(guò)VPN訪(fǎng)問(wèn)OA系統時(shí)，OA系統服務(wù)器通過(guò)request.getRemoteAddr()方法獲取的所有客戶(hù)端訪(fǎng)問(wèn)IP地址均為VPN服務(wù)器IP地址，無(wú)法獲得客戶(hù)端真實(shí)IP地址，因而登錄信息的一致性檢測不能采用服務(wù)端直接獲取IP地址進(jìn)行比對的方案。
本方案采用文檔安全客戶(hù)端獲取準確的主機IP地址和MAC地址，并提交至服務(wù)端進(jìn)行業(yè)務(wù)系統登錄用戶(hù)和登錄主機信息的記錄和比對校驗，不受網(wǎng)絡(luò )、應用部署和訪(fǎng)問(wèn)方式的影響，同時(shí)便于準確追查。

OA系統文檔安全集成

OA系統與文檔安全系統集成，主要包括：組織機構/用戶(hù)信息的同步、單點(diǎn)登錄、文檔的自動(dòng)加密和自動(dòng)授權。通過(guò)集成將安全隱藏在OA公文流程之中，不改變用戶(hù)使用習慣，兼顧安全性與易用性。

圖1: OA系統文檔安全集成功能流程示意圖
（一）客戶(hù)端認證和單點(diǎn)登錄
文檔安全系統與OA系統通過(guò)接口實(shí)現組織機構和用戶(hù)的同步。當用戶(hù)登錄訪(fǎng)問(wèn)OA系統時(shí)，調用文檔安全控件的單點(diǎn)登錄接口實(shí)現文檔安全客戶(hù)端的自動(dòng)登錄，用戶(hù)無(wú)需進(jìn)行二次認證。
（二）發(fā)文/收文過(guò)程中的密級文檔加密
在發(fā)文擬稿或收文登記時(shí)，OA系統調用文檔安全控件的加密接口，自動(dòng)對公文正文和上傳的附件進(jìn)行加密。
公文一旦加密，在流轉的各個(gè)環(huán)節，無(wú)論是閱讀還是再次編輯，均保持加密狀態(tài)，用戶(hù)對公文的使用操作方式不變。
（三）發(fā)文/收文過(guò)程中的密級文檔授權
在發(fā)文擬稿、審批、核稿、成文以及收文閱辦等階段， OA系統調用文檔安全系統授權接口，自動(dòng)對公文下一處理環(huán)節所涉及的用戶(hù)、用戶(hù)組、組織機構進(jìn)行授權。
在發(fā)文擬稿、審批、核稿、成文階段，對于公文正文，自動(dòng)對下一節點(diǎn)的接收用戶(hù)授予閱讀、編輯、復制、水印打印權限；對于公文附件，自動(dòng)對下一節點(diǎn)的接收用戶(hù)授予閱讀、水印打印權限。
在成文后或收文閱辦階段，對于公文正文和附件，自動(dòng)對下一節點(diǎn)的接收用戶(hù)授予閱讀權限。

圖2: 在OA流程各節點(diǎn)中配置相應權限示例

各級文檔管理員可以在SecureDOC文檔安全保護系統的管理系統（SDMS）中隨時(shí)追加或撤銷(xiāo)用戶(hù)對公文的操作權限，而無(wú)需回收公文。

對VPN遠程辦公的支持

電信省公司使用VPN實(shí)現遠程辦公，通過(guò)在VPN服務(wù)器上配置接入文檔安全服務(wù)器，實(shí)現員工在企業(yè)辦公環(huán)境之外，通過(guò)VPN接入企業(yè)辦公環(huán)境，對加密文檔進(jìn)行受控使用操作。

對手機/平板電腦移動(dòng)辦公的支持

為支持手機/平板電腦對OA加密公文的閱讀，在移動(dòng)辦公服務(wù)器上調用文檔安全解密接口，當手機/平板電腦查看密級公文時(shí)，自動(dòng)解密公文推送至移動(dòng)終端并打開(kāi)，當文檔關(guān)閉時(shí)，自動(dòng)刪除移動(dòng)終端上的解密文檔，不在移動(dòng)終端上存儲。

對OA公文互通的支持

通過(guò)公文互通接收集團總部向省公司下發(fā)的公文時(shí)，OA系統自動(dòng)調用文檔安全系統加密和授權接口，實(shí)現集團來(lái)文的自動(dòng)加密和流轉的自動(dòng)授權，從而實(shí)現對集團下發(fā)公文在省公司OA系統流轉各環(huán)節的保護。

用戶(hù)本機重要文檔的保護（可選）

文檔安全客戶(hù)端提供右鍵菜單，為用戶(hù)本機的重要文檔提供加密保護，加密后的文檔，用戶(hù)自己（作者）擁有所有權限，自己的操作不受任何限制。當用戶(hù)將本機加密的文檔發(fā)送給企業(yè)內其他人員時(shí)，需要通過(guò)右鍵菜單對接收人予以授權，文檔的發(fā)送渠道不受限制。

1.1  業(yè)務(wù)支撐類(lèi)應用數據保護

用戶(hù)信息同步與轉換

文檔安全系統可通過(guò)Web Service接口或LDAP接口從OA系統、企業(yè)目錄或統一用戶(hù)管理系統中同步用戶(hù)信息和組織機構信息，用戶(hù)無(wú)需記憶新的帳號，直接使用現有帳號信息。
業(yè)務(wù)支撐類(lèi)應用如果具有獨立的用戶(hù)登錄信息，建議與統一用戶(hù)管理系統或企業(yè)目錄中存儲的用戶(hù)信息建立映射關(guān)系，當調用文檔安全系統集成接口時(shí)，可以通過(guò)該映射關(guān)系完成用戶(hù)身份信息的轉換，得到與文檔安全系統一致的用戶(hù)名。

系統用戶(hù)登錄認證信息強制檢測

用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)支撐類(lèi)應用時(shí)，強制檢測是否已安裝并登錄了文檔安全客戶(hù)端，如未安裝或未登錄則不允許訪(fǎng)問(wèn)系統；同時(shí)，檢測登錄用戶(hù)和登錄主機信息的一致性，如果不一致，則也不允許訪(fǎng)問(wèn)系統，從而增強系統安全認證和訪(fǎng)問(wèn)控制。
（一）文檔安全客戶(hù)端登錄及主機信息的獲取
用戶(hù)主動(dòng)登錄文檔安全客戶(hù)端或者通過(guò)業(yè)務(wù)支撐類(lèi)應用單點(diǎn)登錄文檔安全客戶(hù)端成功后，文檔安全客戶(hù)端搜集用戶(hù)主機信息，包括：客戶(hù)端主機當前生效網(wǎng)卡的IP地址、MAC地址、主機名稱(chēng)、文檔安全客戶(hù)端的版本及當前用戶(hù)名和用戶(hù)登錄時(shí)間，提交至文檔安全服務(wù)系統存儲，用戶(hù)狀態(tài)標記為已登錄。當用戶(hù)注銷(xiāo)文檔安全客戶(hù)端時(shí)，用戶(hù)狀態(tài)將更新為未登錄。
（二）業(yè)務(wù)支撐類(lèi)應用登錄認證信息的強制檢測
1)         用戶(hù)通過(guò)Web瀏覽器登錄/單點(diǎn)登錄訪(fǎng)問(wèn)業(yè)務(wù)支撐類(lèi)應用；
2)         系統通過(guò)JavaScript腳本調用文檔安全客戶(hù)端的COM組件接口，檢測文檔安全客戶(hù)端是否已登錄；
如果文檔安全客戶(hù)端未安裝，則捕獲錯誤信息，提示用戶(hù)“必須先安裝文檔安全客戶(hù)端才能登錄系統”，并停止登錄/單點(diǎn)登錄信息的提交；
如果COM組件接口返回值表明客戶(hù)端未登錄，則提示用戶(hù)“必須先登錄文檔安全客戶(hù)端才能登錄系統”，并停止登錄/單點(diǎn)登錄信息的提交；
如果COM組件接口返回值表明客戶(hù)端已登錄，則通過(guò)COM組件接口獲取主機的IP和MAC地址，并隨登錄/單點(diǎn)登錄信息一起提交至業(yè)務(wù)系統服務(wù)端；
3)         業(yè)務(wù)系統收到信息后，驗證登錄的用戶(hù)名/密碼或單點(diǎn)登錄信息是否正確，如果不正確則拒絕登錄/單點(diǎn)登錄系統；
4)         如果登錄/單點(diǎn)登錄信息驗證正確，則調用文檔安全系統服務(wù)端的Java服務(wù)接口，校驗客戶(hù)端提交的當前用戶(hù)主機的IP和MAC地址與文檔安全服務(wù)系統中記錄的當前用戶(hù)最新登錄的主機IP和MAC地址以及登錄狀態(tài)是否一致；如果不一致，則拒絕登錄系統，否則登錄成功。
（三）通過(guò)VPN訪(fǎng)問(wèn)業(yè)務(wù)系統時(shí)的方案適應性
在通過(guò)VPN訪(fǎng)問(wèn)業(yè)務(wù)系統時(shí)，業(yè)務(wù)系統服務(wù)器通過(guò)request.getRemoteAddr()方法獲取的所有客戶(hù)端訪(fǎng)問(wèn)IP地址均為VPN服務(wù)器IP地址，無(wú)法獲得客戶(hù)端真實(shí)IP地址，因而登錄信息的一致性檢測不能采用服務(wù)端直接獲取IP地址進(jìn)行比對的方案。
本方案采用文檔安全客戶(hù)端獲取準確的主機IP地址和MAC地址，并提交至服務(wù)端進(jìn)行業(yè)務(wù)系統登錄用戶(hù)和登錄主機信息的記錄和比對校驗，不受網(wǎng)絡(luò )、應用部署和訪(fǎng)問(wèn)方式的影響，同時(shí)便于準確追查。

系統前臺導出數據文件的加密和授權保護

業(yè)務(wù)支撐類(lèi)應用前臺業(yè)務(wù)人員可通過(guò)Web頁(yè)面查詢(xún)數據并導出為文件進(jìn)行下載。文檔安全系統在服務(wù)端為業(yè)務(wù)支撐類(lèi)應用提供文檔的發(fā)布、加密、授權等Java服務(wù)接口，實(shí)現對導出文件的加密和對當前用戶(hù)的文檔授權，不依賴(lài)于文檔安全客戶(hù)端。即使終端主機上未安裝文檔安全客戶(hù)端或文檔安全客戶(hù)端未登錄，導出下載的數據文件仍為加密文件。


圖3: 業(yè)務(wù)支撐類(lèi)應用前臺數據文件加密下載和使用控制功能流程示意

系統前臺導出數據文件的加密和授權處理過(guò)程如下：
（1）業(yè)務(wù)支撐類(lèi)應用前臺業(yè)務(wù)人員，通過(guò)Web頁(yè)面查詢(xún)系統數據或進(jìn)行數據分析之后，點(diǎn)擊頁(yè)面上的導出/下載相關(guān)功能按鈕；
（2）系統服務(wù)端根據請求，將數據生成為文件（如：Excel、CSV文件）；
（3）系統在服務(wù)端調用文檔安全系統Java服務(wù)接口，實(shí)現數據文件信息的發(fā)布和文件內容加密，并調用文檔安全系統Java服務(wù)接口對當前用戶(hù)進(jìn)行授權，默認只授予閱讀權限；對于個(gè)別需要處理的數據文件，可授予閱讀和編輯權限；對于需要發(fā)送給其他人員的數據文件，可授予閱讀和分發(fā)權限；
（4）加密后的數據文件返回給客戶(hù)端進(jìn)行下載保存。

系統后臺導出數據文件的加密和授權保護

ODS系統后臺管理維護人員可以根據省市相關(guān)部門(mén)提交的數據導出申請和審批結果，通過(guò)數據庫客戶(hù)端工具（如：PLSQL或SQL Plus）直接連接系統數據庫，進(jìn)行數據查詢(xún)并導出為文件（如：Excel、CSV、TXT），然后再發(fā)送給相關(guān)申請人員進(jìn)行處理。
由于部分維護人員可能是外部代維人員，因此需要在文檔安全系統中為這部分人員建立帳號。
（一）無(wú)堡壘主機情況下的保護方案（改成云桌面加文件中轉站方式）
需要結合制度規定，要求管理維護人員對數據庫客戶(hù)端工具導出的數據文件進(jìn)行手工加密和授權工作：
（1）管理維護人員在數據庫客戶(hù)端工具導出的數據文件上，點(diǎn)擊右鍵，從彈出的右鍵菜單中選擇“加密”，完成對數據文件的手工加密操作；
（2）管理維護人員在加密后的數據文件上，點(diǎn)擊右鍵，從彈出的右鍵菜單中選擇“授權”，并在彈出的授權界面中的企業(yè)組織機構/用戶(hù)目錄樹(shù)中選擇相應的接收人員，設置具體的操作權限；
對于接收到數據文件后，需要將數據導入數據庫進(jìn)行分析的情況，在授權時(shí)，可對接收人員授予閱讀和解密權限，并綁定主機信息；接收人員只有在綁定的主機上登錄文檔安全客戶(hù)端，才能解密數據文件，導入數據庫，同時(shí)文檔安全系統將記錄操作日志。
（二）有堡壘主機情況下的保護方案
通過(guò)堡壘主機防護，限定管理維護人員只有在堡壘主機上才能通過(guò)數據庫客戶(hù)端工具對系統數據進(jìn)行導出操作，限定地市業(yè)務(wù)人員只有在堡壘主機上才能將數據導入到地市數據分析數據庫中并進(jìn)行相關(guān)分析工作。
對于地市申請導出的數據，管理維護人員在堡壘機上導出后，通過(guò)文檔安全系統，將數據文件加密上傳至文檔安全系統文檔中轉站，并由管理維護人員對地市業(yè)務(wù)人員進(jìn)行授權，通過(guò)文檔安全系統高級權限設置中的IP/MAC/機器碼綁定功能，實(shí)現地市業(yè)務(wù)人員只能在指定的堡壘主機上進(jìn)行數據文件解密和導入地市數據分析數據庫的操作。


圖4: 基于堡壘主機的系統后臺導出數據文件保護功能流程示意

系統后臺導出數據文件的加密和授權處理過(guò)程如下：
（1）管理維護人員登錄堡壘主機；
（2）管理維護人員在堡壘主機上，通過(guò)數據庫客戶(hù)端工具查詢(xún)系統數據庫導出數據文件；
（3）管理維護人員通過(guò)文檔安全系統客戶(hù)端的文檔中轉站功能，選擇導出的數據文件，將自動(dòng)加密上傳至文檔中轉站；
管理維護人員從企業(yè)組織機構/用戶(hù)目錄樹(shù)中選擇地市業(yè)務(wù)人員進(jìn)行文檔授權，授予閱讀和解密權限，并在高級權限設置中綁定地市業(yè)務(wù)人員可登錄使用的堡壘機的IP/MAC/機器碼（也可通過(guò)在文檔安全系統服務(wù)端設置，完成自動(dòng)綁定）
（4）地市業(yè)務(wù)人員登錄相關(guān)的堡壘主機；
（5）地市業(yè)務(wù)人員在堡壘主機上，登錄文檔安全系統，從文檔中轉站中下載接收到的數據文件（由于綁定了堡壘主機信息，如果在其他主機上下載該數據文件，則無(wú)法打開(kāi)）；
（6）地市業(yè)務(wù)人員在堡壘主機上，解密數據文件（文檔安全客戶(hù)端校驗綁定信息和權限并記錄日志），導入地市數據分析數據庫并進(jìn)行分析。

1.  建設效果

通過(guò)電子文檔安全系統的建設，以及與MBOSS相關(guān)應用系統的集成，實(shí)現對含有商業(yè)秘密的流轉公文與系統生成的敏感數據文件的加密保護、權限控制和使用審計，防止敏感數據文件的非授權訪(fǎng)問(wèn)和違規使用，有效保各類(lèi)用戶(hù)信息和企業(yè)重要經(jīng)營(yíng)信息的安全。
具體目標主要包括：
（1）實(shí)現與省公司OA系統的無(wú)縫集成，對于OA系統中的所有公文進(jìn)行自動(dòng)加密、自動(dòng)授權；
（2）實(shí)現OA公文在流轉過(guò)程中以及本地操作過(guò)程中的全程受控操作和日志審計；
（3）增強EDA域相關(guān)系統登錄和訪(fǎng)問(wèn)控制機制，不安裝文檔安全客戶(hù)端則不允許登錄訪(fǎng)問(wèn)業(yè)務(wù)支撐類(lèi)應用，并檢查登錄人員及客戶(hù)端主機信息的一致性；
（4）對前臺人員導出的數據文件自動(dòng)進(jìn)行加密和授權處理，控制當前人員對數據文件的閱讀、編輯、復制、打印、截屏等操作權限并記錄日志；
（5）前臺人員將下載的加密數據文件帶至企業(yè)外部，或者直接發(fā)送給任何內部或外部人員，均無(wú)法打開(kāi)閱讀，必須經(jīng)過(guò)許可授權；
（6）后臺人員根據申請審批結果導出的數據文件，由后臺人員按要求進(jìn)行加密，并授權給相關(guān)接收人員，接收人員只能在許可范圍內受控操作數據文件，如需解密需經(jīng)許可授權。
（7）實(shí)現“事前加密保護、事中授權控制、事后跟蹤審計”的文檔安全體系；
（8）既保證內部合法用戶(hù)對重要文檔的合理使用，又控制文檔的傳播范圍和使用權限，防范企業(yè)內部和外部的各種泄密風(fēng)險；

4.1加密文件的使用控制和審計

文檔的透明加解密


圖5: 文檔透明加解密和操作權限控制

文檔安全客戶(hù)端對文檔采用驅動(dòng)級透明加解密：
（1）加密后的文檔，文檔擴展名不變、文檔圖標不變（只在原圖標右下角自動(dòng)加上“鎖”圖標，以方便用戶(hù)區別明文文檔和密文文檔）、文檔的關(guān)聯(lián)程序不變、用戶(hù)對文檔的操作方式不變；
（2）加密后的文檔，有權限的用戶(hù)在打開(kāi)時(shí)自動(dòng)在內存中解密，不在磁盤(pán)上產(chǎn)生明文文檔；用戶(hù)再次編輯保存時(shí)，文檔自動(dòng)加密；
支持Office系列、WPS系列、Acrobat、福昕、記事本、寫(xiě)字板等常見(jiàn)軟件的文檔格式。

文檔權限的細粒度控制

SecureDOC企業(yè)文檔安全保護系統以文檔加密為基礎，實(shí)現文檔操作權限的細粒度控制。加密文檔和權限分離，在操作加密文檔時(shí)，首先需要通過(guò)身份認證，然后根據當前用戶(hù)身份從文檔安全服務(wù)器獲取當前用戶(hù)對該文檔的操作權限。因此，加密的文檔在未被授權或未經(jīng)許可脫離企業(yè)辦公環(huán)境時(shí)將無(wú)法使用。
SecureDOC企業(yè)文檔安全保護系統客戶(hù)端在用戶(hù)終端的操作系統層面控制文檔的操作權限，不依賴(lài)于具體的應用軟件。對文檔操作權限的具體控制如下：
閱讀——控制文檔是否可以打開(kāi)閱讀
編輯——控制文檔內容是否可以被編輯保存
復制——控制系統剪貼板，防止文檔內容通過(guò)剪貼板復制/剪切
打印——控制文檔是否可以打印，包括虛擬打印
水印打印——控制文檔打印時(shí)自動(dòng)加入水印信息
截屏——對常用的截屏軟件和屏幕錄像軟件進(jìn)行控制
分發(fā)——控制對文檔是否可以再授權，從而控制文檔的傳播范圍
離線(xiàn)——控制文檔是否可以脫離指定的企業(yè)辦公環(huán)境使用
外發(fā)——控制文檔是否可以發(fā)送到企業(yè)外部機構、客戶(hù)、合作伙伴
解密——控制文檔是否可以被解密為明文
 
文檔閱讀權限控制
用戶(hù)未安裝文檔安全客戶(hù)端時(shí)，無(wú)法打開(kāi)加密文檔或打開(kāi)只能看到亂碼。
用戶(hù)安裝了文檔安全客戶(hù)端并登錄，但對文檔無(wú)權限，雙擊文檔時(shí)提示“您沒(méi)有該文檔的閱讀權限”，拒絕打開(kāi)文檔或打開(kāi)只能看到亂碼。
 
文檔編輯權限控制
通過(guò)客戶(hù)端文件過(guò)濾驅動(dòng)實(shí)現對文檔寫(xiě)權限的控制，當用戶(hù)有編輯權限時(shí)，可以對文件進(jìn)行編輯，編輯后可以保存或者另存，同時(shí)客戶(hù)端文件過(guò)濾驅動(dòng)對保存或另存的文檔實(shí)現自動(dòng)加密。
當用戶(hù)沒(méi)有編輯權限時(shí)，即使對文件進(jìn)行了修改操作，通過(guò)客戶(hù)端文件過(guò)濾驅動(dòng)也將禁止保存和另存。
 
文檔復制權限控制
對文檔復制權限的控制方式有兩種：一種是如果沒(méi)有權限，則完全禁用復制功能，系統剪貼板中將無(wú)任何內容；另一種則允許在受控進(jìn)程之間復制內容。
 
文檔打印權限控制
用戶(hù)對文檔無(wú)打印權限時(shí)，將禁止對文檔的打印和虛擬打印操作；
用戶(hù)對文檔有打印權限時(shí)，也可以在打印時(shí)根據當前用戶(hù)信息強制加入水印信息（比如，公司名稱(chēng)、當前用戶(hù)、打印時(shí)間等）。
 
文檔截屏權限控制
實(shí)現對鍵盤(pán)截屏的阻止，同時(shí)阻止常用截屏軟件（如：QQ等）、屏幕錄像軟件（如：紅蜻蜓、屏幕錄像專(zhuān)家等）對加密文檔的截屏操作，保護文檔內容。
 
文檔離線(xiàn)權限的控制
用戶(hù)如果擁有離線(xiàn)權限，在無(wú)法連接網(wǎng)絡(luò )或無(wú)法連接企業(yè)辦公環(huán)境時(shí)，可以在離線(xiàn)策略許可的權限范圍內，操作加密文檔。
文檔客戶(hù)端定時(shí)從服務(wù)器自動(dòng)同步離線(xiàn)策略到用戶(hù)本機并加密存儲；用戶(hù)也可以向文檔管理員申請在管理系統中導出自己的離線(xiàn)策略，并在文檔安全客戶(hù)端中導入離線(xiàn)策略。
 
文檔外發(fā)權限控制
用戶(hù)如果擁有外發(fā)權限，可以將相應的加密文檔發(fā)送給企業(yè)外部機構、客戶(hù)、合作伙伴，但需要通過(guò)文檔安全客戶(hù)端制作文檔外發(fā)包。
制作文檔外發(fā)包時(shí)，可以設定密碼，可以設定閱讀的時(shí)間段和次數，以及其它操作權限。
文檔外發(fā)包為雙擊自解壓文檔，接收方無(wú)需手工安裝任何客戶(hù)端，即可受控操作文檔。

文檔權限的高級策略設置

SecureDOC企業(yè)文檔安全保護系統對合法用戶(hù)的文檔操作權限可以設置高級策略進(jìn)一步進(jìn)行限定，具體策略如下：
使用期限——控制文檔只能在有效起止時(shí)間內使用；
IP地址/地址段——控制文檔只能在指定IP地址/地址段的主機上使用；
MAC地址——控制文檔只能在指定MAC地址的主機上使用；
機器碼——控制文檔只能在指定機器碼的主機上使用。

文檔自動(dòng)增加閱讀水印

加密文檔通過(guò)SecureDOC企業(yè)文檔安全保護系統的細粒度權限控制功能，已經(jīng)可以在很大程度上控制合法用戶(hù)對文檔內容的使用權限，但對于使用電腦技術(shù)以外手段獲取文檔內容的方法，例如采用手機、相機拍攝已經(jīng)打開(kāi)加密文檔的屏幕手段，卻無(wú)法起到作用。
為此，SecureDOC企業(yè)文檔安全保護系統特別提供了加密文檔自動(dòng)增加閱讀水印功能，在合法用戶(hù)打開(kāi)加密文檔時(shí)水印信息自動(dòng)浮現在文檔內容中，水印信息可由管理系統定義，顯示當前閱讀者的身份信息等，從而有效阻止對屏幕內容的拍攝，保護文檔內容的安全。

文檔操作的日志記錄

用戶(hù)在線(xiàn)對加密文檔進(jìn)行操作時(shí)，文檔安全客戶(hù)端將實(shí)時(shí)記錄各項操作日志并上傳至服務(wù)器。
用戶(hù)離線(xiàn)對加密文檔進(jìn)行操作時(shí)，文檔安全客戶(hù)端將記錄各項操作日志，并在客戶(hù)端加密存儲；當用戶(hù)下次在線(xiàn)登錄時(shí)，將自動(dòng)上傳離線(xiàn)操作日志至服務(wù)器。
日志內容包括：客戶(hù)端IP地址、操作用戶(hù)、操作時(shí)間、操作的文檔、具體操作等。
 

4.2加密文件的動(dòng)態(tài)權限管理

文檔權限的追加和撤銷(xiāo)

文檔管理員在服務(wù)端可以隨時(shí)追加或撤銷(xiāo)授權對象的文檔操作權限，而無(wú)需回收或重發(fā)加密文檔。

文檔授權對象的管理

文檔的授權對象可以支持用戶(hù)、組織機構、用戶(hù)組，以方便精確快速授權。

文檔權限的存儲和查詢(xún)

文檔安全服務(wù)端為客戶(hù)端提供文檔權限的接收存儲和查詢(xún)服務(wù)，所有對用戶(hù)的文檔授權信息，將在服務(wù)端進(jìn)行集中存儲；當用戶(hù)操作文檔時(shí)，客戶(hù)端可以從服務(wù)端實(shí)時(shí)獲取當前用戶(hù)對所操作文檔的權限列表，以按照該列表控制用戶(hù)對文檔的操作。

文檔日志審計與備份

文檔安全服務(wù)端接收客戶(hù)端上傳的文檔操作日志信息并存儲，并對文檔授權日志、文檔操作日志等進(jìn)行審計，并可以導出成EXCEL文檔以進(jìn)行備份。
 
關(guān)于時(shí)代億信
北京時(shí)代億信科技有限公司是一家致力于企業(yè)應用整合及信息安全整體解決方案的專(zhuān)業(yè)技術(shù)服務(wù)公司。公司依托首都科技產(chǎn)業(yè)優(yōu)勢，專(zhuān)注于數字證書(shū)應用、企業(yè)應用安全、企業(yè)應用整合及相關(guān)領(lǐng)域的軟件研發(fā)與技術(shù)服務(wù)，為客戶(hù)提供整體的應用安全解決方案。憑借團隊優(yōu)勢和綜合技術(shù)能力，公司相繼獨立完成了身份認證、統一身份管理與訪(fǎng)問(wèn)控制、文檔安全保護、SSLVPN等一系列創(chuàng )新產(chǎn)品的研發(fā)和推廣，積累了豐厚的專(zhuān)業(yè)技術(shù)實(shí)力和成熟的客戶(hù)服務(wù)經(jīng)驗，經(jīng)過(guò)不斷努力，已經(jīng)成為企業(yè)應用安全及整合領(lǐng)域領(lǐng)先的解決方案提供商。